Eltex Documentation
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных


Описание

Обобщенно компоненты схемы авторизации можно представить так:

Таким образом, настройка в общем случае будет содержать следующие шаги:

  • настройка NAS устройства;
  • настройка клиента;
  • настройка в NAICE параметров NAS устройства и клиента, а также политик аутентификации и авторизации, которые позволят пользователю получить или не получить доступ к сети по определенным правилам.

Настройка NAS устройства на примере MES23хх

Настройка аутентификатора заключается в базовой настройке 802.1x авторизации. Рассмотрим команды для настройки на примере MES23xx.

  1. Включаем глобально 801.1x:

    dot1x system-auth-control

  2. Настраиваем взаимодействие с NAICE:

    radius-server host <IP-адрес NAICE> key <RADIUS secret> usage dot1x

  3. Настраиваем порт подключения клиента:

    interface <порт клиента>
 dot1x port-control auto

Базовая настройка NAICE 

Далее описана последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS устройства. 

Пример направлен на получение базовых навыков работы с системой и не затрагивает некоторый функционал, доступный для настройки и не являющийся минимально необходимым.

1. Добавить пользователя

Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации по протоколу LDAP, такими как MS Active Directory или OpenLDAP. Рассмотрим создание внутреннего пользователя.

Добавление пользователя доступно в разделе "Администрирование"  "Управление идентификацией" на странице "Пользователи сети".

Для добавления пользователя нажмите в правой части поля над таблицей со списком пользователей сети, откроется следующая страница:


Минимально необходимые для заполнения параметры:

  • "Статус" = Включено. Имеется возможность временно выключить пользователя, что позволит запретить ему аутентификацию без удаления учетной записи.
  • "Логин" - логин пользователя, с которым клиент будет проходить аутентификацию;
  • "Пароль" и "Подтверждение пароля" - пароль пользователя, с которым клиент будет проходить аутентификацию.

Добавление пользователя в группы не является обязательным. Однако группировка пользователей может позволить упростить их администрирование, и в будущем по параметрам группы можно настроить правила политик аутентификации и авторизации.

Более подробно про пользователей, группы пользователей и работу с ними можно узнать на странице v0.5_4.4 Управление пользователями (супликантами).


2. Создать профиль сетевого устройства

Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS устройств, и затем при их настройке указывать данный профиль для применения настроенных параметров. В общем случае профиль имеет смысл создавать для устройств одного производителя или одной модели устройств, однако это не строгое правило.

Создание профиля сетевого устройства доступно в разделе "Администрирование" "Сетевые ресурсы" на странице "Профили устройств".

Для добавления профиля нажмите в правой части поля над таблицей со списком профилей, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • "Наименование" - имя профиля;
  • "Производитель" - производитель сетевого устройства. Данное поле является информационным и не влияет на работу функционала.
  • "Поддерживаемые протоколы" - включить поддержку протокола RADIUS (по умолчанию включено).

Условия определения типа подключения позволяют по настроенным RADIUS-атрибутов определять, каким образом подключается пользователь. Тип подключения можно использовать в наборах политик в качестве условия. Если данные настройки не указаны, то тип подключения не будет определен, но авторизация будет возможна. Так как предполагается настройка в качестве условия подключения NAS IP аутентификатора, то в данном случае настройка не обязательна.

Разрешения позволяют для устройств с данным профилем разрешить или запретить настройку типичных сценариев авторизации ("общие задачи") - настройку VLAN и ACL в профиле авторизации, а также настроить, какие именно RADIUS-атрибуты отвечают за выдачу VLAN и ACL для устройств с данным профилем (могут быть специфичны для различных производителей). Так как выдача VLAN и ACL в данном примере не предполагается, то настройка не обязательна.

По умолчанию создан профиль сетевого устройства "Eltex MES23xx", который адаптирован под данную серию коммутаторов. При желании в дальнейшей настройке можно использовать данный профиль.

Более подробно про профили сетевых устройств можно узнать на странице v0.5_4.2 Управление сетевыми устройствами (аутентификаторами).


3. Добавить сетевое устройство

На данном шаге нужно описать NAS устройство и параметры взаимодействия с ним.

Создание сетевого устройства доступно в разделе "Администрирование" "Сетевые ресурсы" на странице "Устройства".

Для добавления устройства нажмите в правой части поля над таблицей со списком устройств, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • "Наименование" - имя устройства;
  • "Профиль" - необходимо выбрать ранее созданный профиль сетевого устройства.
  • "IPv4" - IPv4-адрес устройства. Именно он будет использоваться в качестве NAS-IP-Address в наборах политик.
  • "Секретный ключ" (RADIUS secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUS. Должен совпадать с ключом, настроенным на самом устройстве.

Добавление устройства в группы не является обязательным. Однако распределение устройств по группам позволит упростить их администрирование, а также добавит возможность настроить правила политик аутентификации и авторизации на основе принадлежности устройства к группе.

Более подробно про настройку сетевых устройств можно узнать на странице v0.5_4.2 Управление сетевыми устройствами (аутентификаторами).


4. Создать логическое условие с NAS-IP-Address

Логические условия позволяют задать условия, при которых политику или правило политики необходимо применять.

В качестве примера составим простое условие - RADIUS-атрибут NAS-IP-Address словаря RADIUS равен IPv4-адресу NAS-устройства.

Создание логического условия с последующим его сохранением в библиотеку условий доступно в разделе "Политика" "Элементы" на странице "Условия".

В редакторе условия в поле "Атрибут" нажмите на и в окне выбора атрибута найдите RADIUS-атрибут NAS-IP-Address:

Затем настройте оператор "Равно" и в поле значения впишите IPv4-адрес NAS-устройства.

Сохраните условие как новое условие в библиотеку, укажите для него "Наименование". Убедитесь, что условие появилось в списке в колонке Библиотека.

Логическое условие можно также создавать прямо во время создания политик.

 Пример сохраненного условия

Более подробно про настройку логических условий можно узнать на странице v0.5_4.3.4 Управление логическими условиями.

5. Указать доступные для аутентификации протоколы

Аутентификация клиента может проходить по различным протоколам аутентификации, предполагающие разный уровень безопасности при обмене RADIUS-пакетами. Может потребоваться запрет аутентификации по менее безопасным протоколам, или же разрешение аутентификации по более простым протоколам, так как клиент поддерживает только их. За это отвечают службы доступных протоколов.

Создание службы доступных протоколов доступно в разделе "Политика" "Элементы" на странице "Результаты", вкладка "Доступные протоколы"

Для добавления службы нажмите в правой части поля над таблицей со списком служб, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • "Название сервиса" - название службы доступных протоколов;
  • "Доступные протоколы" - выберете те протоколы, по которым хотите разрешить аутентификацию.

Если суппликант - компьютер с ОС Windows, то скорее всего предпочитаемый протокол аутентификации будет EAP-PEAP (а именно EAP-PEAP-MSCHAPv2). В связи с этим в данном случае стоит выбрать доступный протокол EAP-PEAP.

Более подробно про настройку доступных протоколов можно узнать на странице v0.5_4.3.2 Управление протоколами аутентификации.


6. Создать профиль авторизации

После прохождения аутентификации должна пройти авторизация клиента. В зависимости от условий можно настроить различные результаты (профили) авторизации, которые потом использовать в политике авторизации. Например, можно выдать успешно прошедшему аутентификацию клиенту определенные VLAN и ACL. Так как выдача VLAN и ACL завязана на различные RADIUS-атрибуты для различных устройств, то профиль авторизации привязан к профилю устройства-аутентификатора.

Создание службы доступных протоколов доступно в разделе "Политика" "Элементы" на странице "Результаты", вкладка "Профили авторизации"

Для добавления профиля нажмите в правой части поля над таблицей со списком профилей, откроется следующая страница:

Минимально необходимые для заполнения параметры:

  • "Имя" - название профиля авторизации;
  • "Профиль" - профиль устройства, для которого должен применяться профиль авторизации. От данной настройки зависит возможность настройки общих задач и то, какие именно атрибуты в них будут использоваться.
  • "Тип доступа" - для какого результата аутентификации (ACCESS_ACCEPT или ACCESS_REJECT) применять данный профиль авторизации.

Общие задачи VLAN и ACL позволяют выдать клиенту соответствующие параметры. Так как выдача VLAN и ACL в данном сценарии не предполагается, то в данном случае настройка не обязательна.

Более подробно про настройку профилей авторизации можно узнать на странице v0.5_4.3.3 Управление профилями авторизации.


7. Создать набор политик аутентификации и авторизации 

Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.

Настроим простой набор политик с условием применения NAS-IP-Address = NAS IP устройства. 

Создание службы доступных протоколов доступно в разделе "Политика" "Наборы политик".

Для добавления нового набора политик нажмите в крайней левой колонке таблицы со списком, в начало списка добавится новый набор:

Заполните следующие параметры:

  • "Имя" - имя набора политик
  • "Условия" - выберите ранее созданное логическое условие. Для этого нажмите на , в появившемся окне найдите в Библиотеке ранее созданное условие и перетащите его в область Редактора. Нажмите на "Использовать".
  • "Доступные протоколы" - выберите ранее созданную службу доступных протоколов.

Нажмите в правом нижнем углу страницы. Это действие сохраняет весь список набора политик.

 Пример сохраненных политик

После этого перейдите в редактирование конкретной политики через :

Настройте новое правило для политики аутентификации через :

  • "Статус" - включено (, по умолчанию);
  • "Имя" - имя правила;
  • "Условие" - для простоты выберете аналогичное условие, что и для всего набора политик;
  • "Использовать" - выберите Default sequence. Данная цепочка идентификации содержит только один источник учетных данных пользователей - локальная база данных, куда и был сохранен пользователь на первом шаге инструкции.

Настройте новое правило для политики аутентификации через :

  • "Статус" - включено (, по умолчанию);
  • "Имя" - имя правила;
  • "Условие" - для простоты выберете аналогичное условие, что и для всего набора политик;
  • "Профили" - выберите ранее добавленный профиль авторизации.

Нажмите в правом нижнем углу страницы.

 Пример настроенной политики

Более подробно про настройку профилей авторизации можно узнать на странице v0.5_4.5 Управление политиками аутентификации и авторизации.

Настройка клиентского подключения

Более подробно описано в разделе: v0.5_6.1 Настройка подключения проводного (wired) клиента

При подключении проводной клиент как правило требует, чтобы возможность использовать авторизацию 802.1x была включена в настройках его сетевого подключения. Без этого он не пытается пройти авторизацию!

Windows 10

Нажимаем правой кнопкой внизу справа в баре на подключение и выбираем "Open Network & Internet settings".

В открывшемся окне переходим в настройки "Ethernet" и нажимаем справа "Change adapter options".

В новом открывшемся окне нажимаем правой кнопкой на сетевой интерфейс, через который подключаемся к коммутатору, и выбираем "Properties".

В открывшемся окне переходим во вкладку "Authentication", и включаем:

  • Enable IEEE 802.1x authentication
  • Choose a network authentication method: Microsoft: Protected EAP (PEAP)
  • Remember my credentials for this connection each time I'm logged on
  • Fallback to unauthorized network access

нажимаем кнопку "Additional Settings".

В открывшемся окне выбираем "Specify authentication mode": "User authentication" и нажимаем "Replace credentials".

В открывшемся окне вводим имя пользователя / пароль и нажимаем "OK":

Ubuntu 20

В качестве приложения для управления сетевыми соединениями рекомендуется использовать NetworkManager

Нажимаем на значок сетевого соединения и выбираем "Edit connections":

Выбираем нужное сетевое подключение и нажимаем внизу на шестеренку.

В открывшемся окне выбираем вкладку "802.1X security":

В поле Authentication выбираем Protected EAP (PEAP):

  • Authentication: Protected EAP (PEAP)
  • CA certificate: выбираем сертификат CA, которым подписан сертифкат RADIUS-сервера (надо предварительно загрузить на клиента). Если не хотим проверять сертитификат сервера - надо ключить настройку No CA certificate is required.
  • PEAP version: Automatic
  • Inner authentication: MSCHAPv2
  • Username: имя пользователя
  • Password: пароль пользователя

Нажимаем "Save".

Как правило полученные настройки могут не примениться сразу - потребуется отключить / включить интерфейс.

Так же NetworkManager может вообще не управлять сетевыми подключениями (вместо него это может делать, например, netplan),  и в этом случае потребуется переключить управление.

Может требоваться перезагрузка компьютера после изменения настроек.


Проверка успешности подключения

После настройки клиентского подключения и попытки авторизации результат авторизации можно увидеть в разделе "Мониторинг"  "RADIUS" "Пользовательские сессии".

Данный раздел позволяет просматривать подключения пользователей за определенный период времени, производить фильтрацию для поиска необходимых записей и просматривать детальную информацию об определенной сессии. В случае неуспешной авторизации информация о сессии может позволить понять причину ошибки и скорректировать настройки.

Более подробно про мониторинг пользовательских сессий можно узнать в разделе v0.5_5.1.1 Мониторинг пользовательских сессий.




  • Нет меток